Leveringsvoorwaarden Brons abonnement - Kleine Zorginstelling (maand)

PARTIJEN  

Deze Leveringsvoorwaarden van stichting Privacyzorg zijn van toepassing op:
  • alle overeenkomsten met betrekking tot "Basis PLUS, Brons, Zilver en Goud abonnementen” die worden aangegaan via privacyzorg.nl en worden geleverd door stichting Privacyzorg, Postbus 270 te 6600AG Wijchen, Kamer van Koophandel nummer 65358864 te 's-Hertogenbosch, BTW nummer NL8560.79.418.B.01, hierna te noemen "Privacyzorg".
  • De Abonnee wordt geacht door het aangaan van een overeenkomst via Privacyzorg.nl, deze voorwaarden te accepteren.
  • Privacyzorg behoudt zich het recht voor om wijzigingen aan te brengen in deze voorwaarden. Controleer deze voorwaarden daarom regelmatig. De laatste versie is te vinden op www.privacyzorg.nl.
hierna gezamenlijk te noemen: 'Partijen',
 
OVERWEGENDE DAT
  • Privacyzorg stelt zich als non-profitorganisatie ten doel het bevorderen, stimuleren, promoten en ontwikkelen van gespecialiseerde methoden voor privacyborging binnen de zorgsector.
  • Privacyzorg, blijkens haar statuten en het reglement, dit doel onder meer tracht te verwezenlijken door:
    • het in stand houden en verder doen ontwikkelen van het Integraal Privacy Management (IPM) model, bestaande uit de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode;
    • het in stand houden en verder doen ontwikkelen van de centrale kennisdatabase, opgebouwd uit vigerende (privacygerelateerde) Wet- en regelgeving, gedragscodes en richtlijnen die gelden binnen de zorgsector;
    • het technisch/juridisch actualiseren van de beschikbaar gestelde IPM-hulpmiddelen, waaronder de jaarlijkse updates van de templates privacyreglementen, processen, procedures en informatiefolders die aangesloten Abonnees gebruiken;
    • het verder ontwikkelen en onderhouden van de privacyauditsystemen ten behoeve van het meetbaar kunnen maken van de kwaliteit en het niveau van privacyborging binnen de aangesloten Abonnees;
    • het in stand houden en verder doen ontwikkelen van de Privacybeheer database ten behoeve van het privacybeheer bij de aangesloten Abonnees;
    • het registreren van (geanonimiseerde) gegevens omtrent de kwaliteit en het niveau van privacyborging binnen de aangesloten Abonnees;
    • het volgen van - en waar mogelijk interveniëren in - privacygerelateerde technische en juridisch ontwikkelingen binnen de zorgsector, die in de toekomst mogelijk impact gaan krijgen;
    • het bevorderen van overleg en samenwerking met overheid, toezichthouders/autoriteiten en koepelorganisaties voor genoemde processen.
  • Abonnee bedrijfsmatig actief is binnen de zorgsector.
  • Abonnee gezien de aard en hoeveelheid Persoonsgegevensverwerkingen valt onder het toezicht van o.a. de Autoriteit Persoonsgegevens (AP) en de Inspectie voor de Gezondheidszorg (IGZ).
  • Abonnee wettelijk verplicht is tot het aanstellen van een Functionaris Gegevensbescherming. Deze verplichting komt onder andere voor uit de “Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016” betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (verder: Algemene Verordening Gegevensbescherming of AVG).
  • Abonnee een bijdrage wenst te leveren aan het verbeteren van de kwaliteit en beheersbaarheid van Persoonsgegevensverwerkingen binnen haar organisatie.
  • Privacyzorg een beheerregistratiesysteem in stand houdt waarin privacygegevens worden verzameld van de aangesloten Abonnees. Zulks rechtstreeks ten behoeve van het beheer van Persoonsgegevensverwerkingen van de aangesloten Abonnees.
  • Partijen hun wederzijdse rechten en verplichtingen in dit kader wensen vast te leggen in deze overeenkomst.
KOMEN ALS VOLGT OVEREEN:

HOOFDSTUK 1: ALGEMENE BEPALINGEN

Artikel 1 - Definities

In deze overeenkomst hebben de volgende begrippen, telkens aangeduid met een hoofdletter, de volgende betekenis:
DEFINITIE: BETEKENIS:
Abonnee De natuurlijke persoon of rechtspersoon met wie Privacyzorg een "IPM Dienstverleningsovereenkomst” sluit, aan wie Privacyzorg een Dienst levert of met wie Privacyzorg in andere rechtsverhouding staat.
Autoriteit Persoonsgegevens (AP) De autoriteit met als taak toe te zien op de Persoonsgegevensverwerkingen.
Beheeruren Het maximaal aantal werkuren binnen de geregistreerde calls per jaar.
Beleid gegevensverstrekking Het beleid van Privacyzorg aangaande het beoordelen van aanvragen tot gegevensverstrekking aan derde partijen, zoals benoemd in Bijlage 3.
Betrokkene
 
Degene op wie een persoonsgegeven betrekking heeft, of zijn vertegenwoordiger.
Beveiligingsincident Een inbreuk op de beveiliging, bedoeld in artikel 11, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die worden verwerkt.
Verwerker Degene die ten behoeve van de Verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Dataset De beschrijving van gegevens in de Privacybeheer database, zoals benoemd in Bijlage 2.
Diensten De door Privacyzorg op basis van deze Overeenkomst aan Abonnee te leveren diensten, zoals nader gespecificeerd in de Dienstenbeschrijving.
Dienstenbeschrijving De beschrijving van Diensten, zoals beschreven in Bijlage 1.
Functionaris gegevensbescherming (FG) Houdt binnen de organisatie toezicht op de toepassing en naleving van de Wbp. De wettelijke taken en bevoegdheden van een FG geven deze functionaris een onafhankelijke positie in de organisatie.
Intellectuele Eigendomsrechten Alle rechten van intellectuele eigendom, waaronder, maar daartoe niet beperkt, het auteursrecht, het merkenrecht en het databankenrecht.
IPM-model Integraal Privacy Management, een door Stichting Privacyzorg zelf ontwikkeld model voor het snel en doelgericht organiseren en borgen van de privacywetgeving binnen zorginstelling. Het IPM-model levert alle hulpmiddelen die een zorginstelling nodig heeft voor de inrichting en het managen van privacy compliance. Het IPM-model bestaat uit drie onderdelen: de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode.
Overeenkomst Deze overeenkomst, met inbegrip van de daarbij behorende bijlagen.
Meldingen Het maximaal aantal meldingen; een vraag of verzoek van de Abonnee aan Privacyzorg wordt gerekend als Melding.
Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Persoonsgegevensverwerking (of Verwerking) Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Privacybeheer database De Privacy Management DataBase, waarin de privacygegevens worden verzameld van de aangesloten Abonnees. Zulks rechtstreeks ten behoeve van het beheer van de Persoonsgegevensverwerkingen die door de aangesloten Abonnees worden verricht;
Responstijd De tijd die ligt tussen het moment van plaatsen van een melding tot het moment van aanvang van de werkzaamheden die nodig zijn om het probleem op te lossen.
Verantwoordelijke De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Persoonsgegevensverwerkingen vaststelt.
AVG Algemene Verordening Gegevensbescherming
WGBO Wet op de geneeskundige behandelingsovereenkomst
Wkkgz Wet kwaliteit, klachten en geschillen zorg


Artikel 2 – Diensten Abonnee

1. Privacyzorg verleent aan Abonnee de Diensten zoals benoemd in Bijlage 1: Dienstenbeschrijving.
2. Privacyzorg zal de Dienstenbeschrijving, telkens uitsluitend na overleg met de Abonnee, aanpassen indien dit nodig is om de doeleinden van Privacyzorg en de Abonnee te verwezenlijken. Zij zal Abonnee steeds uiterlijk drie maanden voor het in werking treden van wijzigingen hiervan op de hoogte stellen. Abonnee zal steeds in staat worden gesteld om bij Privacyzorg bezwaren tegen wijzigingen van de Diensten kenbaar te maken en met Privacyzorg hierover in overleg te treden.

Artikel 3 - Vergoeding en betaling

1. Abonnee is voor de verleende Diensten aan Privacyzorg een maandelijkse financiële bijdrage verschuldigd.
Deze financiële bijdrage is berekend over:
a) Het aantal Verwerkingen binnen de organisatie van de Abonnee, én
b) een inschatting van het benodigde aantal uren voor werkzaamheden dat Privacyzorg voor Abonnee jaarlijks verricht, én
c) een inschatting van het totaal aantal calls dat Privacyzorg voor Abonnee binnen de periode registreert, gelijk aan de berekening onder Bijlage 1 onder C.
2. Het aantal Verwerkingen wordt jaarlijks op 1 januari vastgesteld op basis van een opgave door de Abonnee of aan de hand van een audit door Privacyzorg.
3. Een eventuele correctie over de jaarbijdrage wordt berekend over de historisch gegevens in de Privacybeheer database van de geregistreerde uren/calls op 1 januari van het voorgaande jaar.
4. Bij een overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in artikel 3 onder lid 4 zal in overleg met de Abonnee een naheffing/bijbetaling worden berekend voor de resterende contractperiode.
5. De rechten uit de Berekeningsindicatoren, zoals beschreven in Bijlage 1 onder C, vervallen na het verstrijken van de contractperiode.
6. Abonnee zal de in het eerste lid genoemde financiële bijdrage binnen 30 dagen na ontvangst van de daarop betrekking hebbende factuur voldoen.

Artikel 4 - Uurtarief additionele werkzaamheden

Niet expliciet benoemde werkzaamheden binnen de Dienstverleningsovereenkomst worden apart en op basis van nacalculatie gefactureerd. De volgende items vallen hieronder:
  • Overschrijding van het totaal aan afgesproken uren en/of calls, zoals genoemd in
  • Projecten en overige consultancy
  • Overige werkzaamheden op verzoek van de Abonnee
Hiervoor gelden de volgende tarieven:
  • Privacy & Security consultant EUR 95,00
  • Projectleider EUR 95,00
Voor activiteiten die buiten kantoortijden vallen, gelden de volgende overwerktoeslagen:
  • Gedurende de werkweek (17:00 – 8:30): 25%
  • Gedurende het weekend (na vrijdag 17:00 – maandag 8:30): 50%
Bovenstaande bedragen zijn inclusief reiskosten en exclusief 21% BTW.

Artikel 5 – Contractperiode en verlenging

  1. Deze overeenkomst treedt in werking op de datum van ondertekening en wordt aangegaan tot voor de duur van één jaar.
  2. Behoudens opzegging door één der Partijen, met inachtneming van een opzegtermijn van drie maanden voor het einde van de contractperiode, wordt de overeenkomst daarna telkens stilzwijgend verlengd voor de duur van één jaar.

Artikel 6 – Beëindiging

  1. Indien één der partijen de overeenkomst niet wenst te verlengen, dient de betrokken partij dit schriftelijk kenbaar te maken met inachtneming van een opzegtermijn van 3 kalendermaanden voor het einde van de contractperiode.\
  2. Indien één der partijen toerekenbaar tekort schiet in de nakoming van deze Overeenkomst is die partij in verzuim, nadat de andere partij een redelijke termijn heeft geboden om alsnog na te komen en ook binnen die redelijke termijn niet, niet volledig of niet tijdig wordt nagekomen. In dat geval is de andere partij bevoegd de Overeenkomst met onmiddellijke ingang te ontbinden door middel van een daartoe gericht aangetekend schrijven aan de andere Partij.
  3. Niettegenstaande het overige bepaalde zijn gerechtigd zonder ingebrekestelling of rechterlijke tussenkomst bij aangetekend schrijven met onmiddellijke ingang de Overeenkomst te ontbinden; Iedere partij, indien en zodra:
    a) de andere partij wordt ontbonden of anderszins ophoudt te bestaan;
    b) aan de andere partij (voorlopige) surseance van betaling wordt verleend en de (voorlopige) surseance van betaling langer dan zes maanden achtereen heeft geduurd;
    c) de andere partij in staat van faillissement wordt verklaard;
    d) de andere partij niet (langer) in staat of bereid moet worden geacht haar verplichtingen voortvloeiend uit deze Overeenkomst na te komen
  4. Bij een ontbinding van de Overeenkomst, zoals genoemd onder de leden 2 en 3, zal door Privacyzorg een eindafrekening worden opgemaakt over de resterende contractperiode.
  5. Bij beëindiging van de Overeenkomst zal de Privacyzorg alle in haar bezit zijnde documentatie betreffende de Overeenkomst aan Zorgverlener retourneren en (eventuele) kopieën vernietigen. Voorts zal de Abonnee alsdan geen gebruik meer maken van de Producten en Diensten van Privacyzorg.
  6. Indien de Overeenkomst wordt beëindigd anders dan op de wijze zoals genoemd onder lid 3 en indien de Abonnee aan al haar verplichtingen heeft voldaan jegens Privacyzorg, dan zal Privacyzorg b de gegevens van de Abonnee exporteren naar een machine-leesbaar document. Privacyzorg heeft het recht haar verplichting op grond van deze bepaling op te schorten zolang de Abonnee niet aan haar verplichtingen op grond van deze Overeenkomst heeft voldaan.

Artikel 7 - Vertrouwelijkheid en geheimhouding

  1. Indien en voor zover bij de uitvoering van deze Overeenkomst vertrouwelijke informatie van een partij ter kennis komt van de andere partij zal deze ontvangende partij deze informatie alleen gebruiken voor het uitvoeren van deze Overeenkomst en de toegang tot die Informatie beperken tot personen die daarvan voor dat doel kennis moeten nemen. Partijen staan ervoor in dat deze personen door een arbeidsovereenkomst en/of een geheimhoudingsovereenkomst verplicht zijn tot geheimhouding van deze vertrouwelijke informatie.
  2. Onder vertrouwelijke informatie wordt verstaan: alle informatie die partijen in het kader van deze Overeenkomst uitwisselen, waaronder, maar niet daartoe beperkt, de gegevens die Abonnee aanlevert in het kader van het privacybeheer, de gegevens in de Privacybeheer database, auditgegevens en alle overige vertrouwelijke organisatorische gegevens.
  3. Onder vertrouwelijke informatie wordt niet verstaan:
    • informatie die reeds openbaar was op het moment dat deze ter kennis kwam van de ontvangende partij of naderhand openbaar is geworden;
    • informatie die de ontvangende partij ook van een derde heeft gekregen zonder dat daarbij een geheimhoudingsverplichting is opgelegd of deze derde daartoe verplicht was;
    • informatie die door Partijen is aangemerkt als zijnde niet-vertrouwelijk;
    • geaggregeerde (geanonimiseerde) data en onderzoeksresultaten die Privacyzorg, onder andere op basis van de gegevens uit de Privacybeheer database, tot stand brengt en publiceert.

Artikel 8 - Intellectuele Eigendomsrechten

  1. Alle Intellectuele Eigendomsrechten met betrekking tot het IPM-model (waaronder de IPM-score, de IPM-implementatiemethode en de IPM-beheermethode), de Privacybeheer database, de templates, de audit rapportages, benchmarkgegevens en alle resultaten voortvloeiend uit de Dienstverlening, berusten uitsluitend bij Privacyzorg. Niets in deze overeenkomst beoogt overdracht van deze Intellectuele Eigendomsrechten.

Artikel 9 - Aansprakelijkheid

  1. De totale aansprakelijkheid van Privacyzorg wegens een toerekenbare tekortkoming in de nakoming van deze Overeenkomst of uit enige andere hoofde, waaronder nadrukkelijk begrepen garantie- en/of vrijwaringsverplichtingen, is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de door Abonnee verschuldigde financiële bijdrage over één contractjaar als bedoeld in artikel 3.1. In geen geval zal de totale aansprakelijkheid van Privacyzorg voor directe schade uit welke hoofde dan ook meer bedragen dan het bedrag dat in het betreffende geval wordt uitgekeerd door de bedrijfsaansprakelijkheidsverzekering van Privacyzorg.
  2. De aansprakelijkheid van Privacyzorg voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, of schade verband houdende met programmatuur, apparatuur of diensten van derden is uitgesloten.

Artikel 10 - Overige bepalingen

  1. Abonnee krijgt alleen ondersteuning als deze nog niet wist (of kon weten) dat ondersteuning nodig zou zijn op het moment dat Abonnee de overeenkomst afsloot. Bij twijfel is het aan Abonnee om aan te tonen dat deze dat nog niet wist (of kon weten).
  2. Door Abonnee gehanteerde algemene voorwaarden en/of leveringsvoorwaarden zijn uitdrukkelijk niet van toepassing op deze Overeenkomst.
  3. Deze overeenkomst treedt in de plaats van alle eerder opgemaakte afspraken tussen Partijen met betrekking tot de Diensten van Privacyzorg.
  4. Deze overeenkomst is gebaseerd op de gegevens die u Privacyzorg hebt gegeven toen u deze overeenkomst afsloot. Kloppen die gegevens niet meer? Geef de veranderingen dan zo snel mogelijk aan Privacyzorg door.
  5. Geschillen in verband met deze Overeenkomst, waaronder geschillen over de totstandkoming, de uitleg of de uitvoering daarvan, worden bij uitsluiting voorgelegd aan de daartoe bevoegde rechter In het Arrondissement 's-Hertogenbosch.
  6. Op deze Overeenkomst is het Nederlands recht van toepassing.
 

HOOFDSTUK 2: GEGEVENSVERWERKING IN DE PRIVACYBEHEER DATABASE

Artikel 11 - Privacybeheer database

  1. De gegevens die noodzakelijk zijn voor het privacybeheer van de aangesloten Abonnee worden ingevoerd in de Privacybeheer database. Dit systeem bevat de noodzakelijke functionaliteiten om alle facetten van privacybeheer te kunnen borgen.

Artikel 12 - Aanlevering gegevens door Abonnee

  1. De aandachtshouder Privacy binnen de organisatie van de Abonnee zal minimaal één keer per drie maanden de voor de Privacybeheer database benodigde gegevens aanleveren en/of actualiseren, overeenkomstig de beschrijving van de Dataset in Bijlage 2.
  2. Wanneer de Abonnee deze werkzaamheden zelf uitvoert, geschiedt de aanlevering van de genoemde gegevens middels een versleutelde Excelsheet. De frequentie van de digitale aanlevering kan in de toekomst worden gewijzigd.
  3. Na uw acceptatie van deze Overeenkomst zal Privacyzorg de Abonnee nader informeren over de wijze waarop aanlevering dient plaats te vinden. 

Artikel 13 - Gegevensverstrekking aan derden

  1. Privacyzorg kan, op basis van een daartoe strekkende gegevensaanvraag, een selectie van de Gegevens verstrekken aan een derde partij ten behoeve van wetenschappelijk onderzoek of statistiek.
  2. Een aanvraag tot gegevensverstrekking die betrekking heeft op Persoonsgegevens of vertrouwelijke informatie in de zin van artikel 5 Wbp wordt slechts ingewilligd na goedkeuring door de betreffende Abonnee. Het beleid omtrent gegevensverstrekking wordt nader omschreven in Bijlage 3 van deze overeenkomst.
  3. Privacyzorg toetst een gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking naar een autoriteit, nader overleg voeren met Abonnee. 

Artikel 14 - Privacy en informatiebeveiliging

  1. Privacyzorg zal ten aanzien van de Persoonsgegevensverwerking in de Privacybeheer database, die in het kader van de uitvoering van deze Overeenkomst plaatsvinden, optreden als Verantwoordelijk in de zin van de Wet bescherming persoonsgegevens (Wbp).
  2. Privacyzorg verwerkt de Persoonsgegevens van Abonnee uitsluitend in het kader van haar statutaire doeleinden.
  3. Privacyzorg zal de binnen het wettelijke kader voorgeschreven passende technische en organisatorische maatregelen ten uitvoer leggen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de Persoonsgegevensverwerkingen en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Persoonsgegevensverwerkingen te voorkomen. Privacyzorg werkt de beveiligingsmaatregelen nader uit in een informatiebeveiligingsbeleid en zal dit beleid via haar website beschikbaar maken.
  4. Privacyzorg zal optreden als aanspreekpunt voor Betrokkenen, aangaande de uitoefening van privacyrechten en rechten op grond van de Wbp, in het bijzonder het recht op bezwaar ten aanzien van de Persoonsgegevensverwerkingen die in de Privacybeheer database plaatsvinden.
  5. Privacyzorg en de door haar ingezette medewerkers zijn verplicht tot geheimhouding van Persoonsgegevens, waarvan zij in het kader van de uitvoering van deze Overeenkomst kennisnemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. Privacyzorg zal erop toezien dat de door haar ingezette personen deze geheimhoudingsverplichting betrachten.
  6. Privacyzorg heeft een beleid voorhanden om te reageren op Beveiligingsincidenten. In geval van een Beveiligingsincident zal Privacyzorg voldoen aan de wettelijke meldingsplicht. Partijen zullen gezamenlijk de benodigde maatregelen treffen om de Betrokkenen, indien wettelijk vereist, te informeren over een Beveiligingsincident.
  7. Indien Abonnee dan wel Privacyzorg een Beveiligingsincident vaststelt, zal deze de andere Partij informeren en zullen beide Partijen alle benodigde maatregelen treffen conform de wettelijke voorschriften om (verdere) schending of Inbreuken betreffende Persoonsgegevensverwerkingen te voorkomen, of te beperken.


BIJLAGE 1: DIENSTENBESCHRIJVING

Deze “IPM-dienstverleningsovereenkomst” vormt de juridische voorwaarden voor de abonnementen “Basis PLUS”, “Brons”, “Zilver” en “Goud” voor zorggroepen en zorginstellingen.

BASIS PLUS

Dit abonnement is bedoeld voor kleine zorginstellingen en zorggroepen met een beperkte organisatieomvang, maar ook voor grotere eerstelijnspraktijken die niet vallen onder de criteria van het basisabonnement. Voor dit type abonnement bestaat namelijk géén beperking op het aantal FTE’s per vestiging. Ook kunnen maximaal 10 (maatwerk) Registers van verwerkingsactiviteiten worden opgemaakt. Indien uw organisatie wettelijk verplicht is om een officieel bij de Autoriteiten Persoonsgegevens geregistreerde functionaris gegevensbescherming te hebben zal bovendien een medewerker van onze stichting hiervoor worden benoemd.

BRONS

Het “Brons abonnement” is bedoeld voor kleine zorginstellingen, of zorggroepen met een eigen keteninformatiesysteem (KIS). Dit abonnement biedt dezelfde dekkingen als het “Basis PLUS abonnement”, waarbij binnen dit abonnement tot maximaal 20 Verwerkingen kunnen worden beheerd. U heeft hierin de mogelijkheid voor een telefonisch kwartaaloverleg met de Functionaris gegevensbescherming. Ook kunt u gratis maximaal 63 tickets per jaar indienen. Omdat sprake is van een complexe organisatiestructuur wordt altijd vooraf een audit uitgevoerd, de kosten voor deze audit zijn echter op basis van nacalculatie.

ZILVER

Het “Zilver abonnement” is bedoeld voor middelgrote zorginstellingen vanaf circa 100 FTE. Het biedt dezelfde dekking als het “Brons abonnement”, waarbij binnen dit abonnement tot maximaal 50 Verwerkingen kunnen worden beheerd. Bovendien mogen een onbeperkt aantal tickets worden ingediend. Binnen deze abonnementsvorm loopt uw organisatie daarom vrijwel geen risico meer op additionele kosten. Ook verzorgen wij alle benodigde AVG-documenten, zoals beleidstukken, processen en procedures. Binnen dit abonnement is bovendien nauw contact met de functionaris gegevensbescherming, waarmee u ieder kwartaal overleg heeft op uw locatie.

GOUD

Dit laatste en tevens meest omvangrijke abonnement is bedoeld voor zeer grote zorginstellingen zoals ziekenhuizen en grote VVT-organisaties. Het biedt dezelfde dekking als het “Zilver abonnement”, waarbij binnen dit abonnement een onbeperkt aantal verwerkingen kunnen worden beheerd.  Binnen dit abonnement kan de functionaris gegevensbescherming ook maandelijks aanwezig zijn binnen uw organisatie voor toezicht, advies of overleg. Ook zal jaarlijks een gratis audit plaatsvinden en kan de FG een privacy jaarrapportage opstellen t.b.v. de Verwerkingsverantwoordelijke.
 
Privacyzorg verleent aan Abonnee, overeenkomstig artikel 2 lid 1 van de Dienstverleningsovereenkomst, de Diensten als genoemd in dit hoofdstuk.
 
Dienst: Service Window:
Functionaris Gegevensbescherming 1, 2 en 3
Toezicht op alle geregistreerde persoonsgegevensverwerkingen 1
Indien op de verwerking een wettelijk vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code 1
Servicedesk: privacy gerelateerde vragen en klachten afhandelen van medewerkers, cliënten en patiënten 1
Adviseren over technologie en beveiliging 1
Voorlichting en advies over de toepassing van de privacywetgeving 1
Jaarlijkse Online Evaluatie(s) n.v.t.
Onsite Audit n.v.t.
Implementatie (van de IPM-beheermethode) n.v.t.
Inventarisatie, registratie en beheer van persoonsgegevensverwerkingen in de Privacybeheer database n.v.t.
De coördinatie van wijzigingen op geregistreerde Verwerkingen n.v.t.
Privacy Impact Assessment (PIA) op alle Verwerkingen n.v.t.
Afsluiten, registreren en beheren van Verwerkersovereenkomsten en Geheimhoudingsovereenkomsten n.v.t.
Gebruiksrecht van het Integraal Privacy Management (IPM) model, bestaande uit de IPM-score, IPM-implementatiemethode en de IPM-beheermethode n.v.t.
Gebruiksrecht over alle beschikbare IPM-hulpmiddelen, waaronder de jaarlijkse (technisch/juridisch) geactualiseerde versies van de templates, zoals privacyreglementen, processen, procedures, informatiefolders en presentaties n.v.t.
Gebruiksrecht van het privacy auditsysteem, ten behoeve van het snel en efficiënt kunnen uitvoeren van privacy intakes en audits n.v.t.
Gebruiksrecht van de privacybeheer database, ten behoeve van het privacybeheer binnen de organisatie van de Abonnee n.v.t.
Periodieke nieuwsbrieven n.v.t.
Ontwikkelen van interne privacy processen en procedures n.v.t.
Opstellen van maatwerk processen en procedures n.v.t.
Advies en ondersteuning bij interne en externe visitaties (privacy/security) n.v.t.
Advies en ondersteuning bij audits van certificerende instellingen (privacy/security) n.v.t.
Advies en ondersteuning bij controle door Toezichthouders en/of Autoriteiten (privacy/security) 1, 2 en 3
Quick respons team (7x24u) - om binnen het wettelijk termijn van 72 uur de wettelijke verplichte melding bij de Autoriteit Persoonsgegevens te kunnen plaatsen 1, 2 en 3
Technische en juridische advies en ondersteuning bij privacy- en/of informatiebeveiligingsincidenten, bijvoorbeeld bij een datalek of een hack op een informatiesysteem 1, 2 en 3
Schriftelijk informeren van Betrokkenen en beschikbaar stellen van een telefonisch informatienummer  Maximaal 500 betrokkenen per contractjaar, daarna o.b.v. nacalculatie
Compliance onderzoek (privacy/security) bij Verwerkers Ja, o.b.v. steekproeven
Jaarlijkse privacy rapportage n.v.t.
KPI-gegevens omtrent het niveau van privacyborging bij aangesloten leden van Zorggroepen en coöperaties. n.v.t.
 

A.    Service Windows

Omschrijving

Tijdvak

Service Window 1

Kantoordagen 09:00 – 17:00 uur

Service Window 2

Kantoordagen 17:00 – 24:00 uur

Service Window 3

‘s Nachts 24:00 – 9:00 uur; zaterdag, zon- en feestdagen 24 uur

B.    Respons en reactietijden

Type

Prioriteit

Responstijd

Service Window

Hulp bij calamiteiten

Kritisch / Hoog

95% < 1 uur / 100% < 2 uren

1, 2 en 3

Overige calls

Normaal

75% < 1 kantoordag / 100% < 5 kantoordagen

1

Planbaar werk

Planbaar

80% <  5 kantoordagen / 100% <10 kantoordagen

1

C.    Berekeningsindicatoren

 

Basis Plus

Brons

Zilver

Goud

Functionaris gegevensbescherming

Overleg met de Functionaris gegevensbescherming

Mail (Ad hoc)

Telefoon (kwartaal)

Locatie (kwartaal)

Locatie (maandelijks)

Inventarisatie middels Online Evaluatie

Inventarisatie middels Onsite Audit

Optie

Nacalculatie

Nacalculatie

Inclusief

Standaard documentsjablonen tbv privacyborging

Opstellen van beleidstukken, processen, procedures, etc.

Instructies aan direct betrokken medewerkers

Telefonisch

Locatie

Locatie

Privacy presentaties

Regionaal

Locatie

Locatie

Opmaken van Registers van Verwerkingsactiviteiten

Maatwerk

Maatwerk

Maatwerk

Maatwerk

Maximaal aantal Registers van Verwerkingsactiviteiten

10

20

50

Onbeperkt

Opmaken van Data Protection Impact Assessments (DPIA's)

Aanbieden van Verwerkersovereenkomsten aan Verwerkers

Beoordelen ingediende Verwerkersovereenkomsten

AVG-compliancy checks

Opstellen privacy jaarrapportage

Toegang tot de kennisdatabase

Toegang tot het Privacybeheer Portaal

Telefonische helpdesk tijdens kantoortijden

7 x 24 meldpunt datalekken

Afhandeling datalekken (AP-melding, incidentregister, etc.)

Maximaal aantal Tickets (verzoeken) per jaar

8

63

Onbeperkt

Onbeperkt

 

BIJLAGE 2: BESCHRIJVING GEGEVENSVERWERKING

De volgende gegevens worden in de Privacybeheer database vastgelegd:

D.    Dataset Verwerkingenbeheer:

  • Dossiernaam
  • Datum invoering
  • Verantwoordelijke
  • Referentienummer
  • Naam Functionaris Gegevensbescherming van de Abonnee
  • Gerelateerd Informatiesysteem
  • Namen Auditors en Auditees
  • Aard en type Persoonsgegevens
  • Rechtmatige grondslag van de Persoonsgegevensverwerking
  • Ontvangers
  • Gehanteerde procedures
  • Verrichtte Evaluaties
  • Gekoppelde Wijzigingen
  • Gekoppelde Risico’s

E.    Dataset Risico’s en Wijzigingen:

  • Toegewezen referentienummer
  • Datum van aanmelden
  • Prioriteit van de melding
  • Verantwoordelijke
  • Contract
  • Naam van de aanvrager
  • Bron van de melding
  • Actiehouder van de melding
  • Naam Functionaris Gegevensbescherming van de Abonnee
  • Auditeur van de melding
  • Informatiesysteem wat betrekking heeft op de melding
  • Beheerder van de Persoonsgegevensverwerkingen
  • Onderwerp van de melding
  • Van toepassing zijnde overeenkomsten en procedures
  • Afgenomen evaluaties
  • Analyse van de melding (afhankelijk van de aard van de melding kan dit veld bijzondere persoonsgegevens bevatten!)
  • Maatregelen die genomen moeten worden
  • Verwerkingendossier wat gekoppeld is aan de melding

F.    Dataset Betrokkendossiers:

  • Onderwerp
  • Datum aanmelding
  • Referentienummer
  • Beheerder
  • Actiehouder
  • Prioriteit
  • Deadline
  • Aanvrager
  • Betreffende procedure
  • Subject
  • Omschrijving verzoek (afhankelijk van de aard van de melding kan dit veld bijzondere persoonsgegevens bevatten!)


BIJLAGE 3: BELEID GEGEVENSVERSTREKKING

De gegevens in de Privacybeheer database kunnen naar de inhoud en vertrouwelijkheid in drie categorieën worden onderverdeeld. Deze categorieën zijn:

G.    Niveau 1

Deze gegevens beperken zich tot beschrijvende en/of statistische gegevens en schetsen een beeld van het niveau van privacyborging binnen de aangesloten Abonnees. Bijvoorbeeld aantallen geregistreerde Persoonsgegevensverwerkingen, klachten, wijzigingen, risico’s, etc. Het betreft geaggregeerde gegevens die redelijkerwijs niet herleid kunnen worden naar de Abonnee, haar medewerkers of patiënten en die evenmin bedrijfsvertrouwelijke informatie bevatten.
Het verstrekken van deze data aan belanghebbenden is niet aan bijzondere beperkingen onderworpen. Vraagstellingen betreffende niveau 1 gegevens kunnen worden goedgekeurd door het management van Privacyzorg zonder verdere toestemming van de Abonnee. Door Privacyzorg wordt een overzicht bijgehouden van alle niveau 1 vertrekkingen en dit wordt jaarlijks gerapporteerd aan de Abonnees.

H.    Niveau 2

Deze gegevens worden gebruikt in relatie tot het beheer van Persoonsgegevensverwerkingen binnen de Privacybeheer database, waaronder de inventarisaties, het register van meldingen van persoonsgegevensverwerkingen en de gegevens die zijn verkregen vanuit privacy intakes en de jaarlijkse privacyaudit. Ook valt het Privacy Jaarverslag onder deze categorie.
Niveau 2 gegevens kunnen vertrouwelijk van aard zijn en zijn veelal (bijzondere) persoonsgegevens over medewerkers en patiënten in de zin van de Wbp. Het verstrekken van niveau 2 gegevens moet beoordeeld en goedgekeurd worden door de directie van de Abonnee. Privacyzorg is voor niveau 2 gegevens tot strikte geheimhouding verplicht, behoudens en voor zover enig wettelijk voorschrift haar tot openbaarmaking en/of afgifte verplicht.

I.    Niveau 3

Het betreft hier gegevens over informatiebeveiliging en zéér vertrouwelijke (juridische) organisatiegegevens van de Abonnee. Niveau 3 gegevens omvatten ook gegevens over veiligheidsincidenten en datalekken. Privacyzorg toetst een niveau 3 gegevensaanvraag van een Toezichthouder/autoriteit op basis van de vigerende Wet- en regelgeving. Privacyzorg zal altijd, voorafgaand aan de feitelijke gegevensverstrekking, nader overleg voeren met de Abonnee. Verzoeken voor niveau 3 gegevens moeten altijd beoordeeld en goedgekeurd worden door zowel het management van Privacyzorg alsmede de directie van de Abonnee.
Indien het verstrekken van deze gegevens spoedeisend en essentieel is voor de enig wettelijk termijn, zoals bijvoorbeeld het termijn van 72uur waarbinnen een datalek gemeld moet worden, kan het management van Privacyzorg bij onbereikbaarheid van de directie van de Abonnee alsnog tot gegevensverstrekking overgaan. Dit zal uitsluitend plaatsvinden na een gedegen afweging door het management van Privacyzorg over het aannemelijke risico op zéér hoge boetes voor de Abonnee, of wanneer (vervolg)sancties voor haar aannemelijk zijn.